r   e   k   l   a   m   a
r   e   k   l   a   m   a

Internet Census 2012: setki tysięcy przejętych urządzeń wykorzystane do przeskanowania całej Sieci

Strona główna Aktualności

W Internecie pojawił się właśnie dokument, przedstawiający wyniki badania… Internetu. Co w tym niezwykłego, zapytacie? Badań takich przecież zrealizowano do tej pory wiele – rozmaite firmy i ośrodki badawcze regularnie publikują swoje raporty dotyczące zagrożeń, obciążenia Sieci, zachowań internautów itp. Ten raport jest jednak niezwykły. Po pierwsze, nie wiadomo, kto jest jego autorem, po drugie powstał z wykorzystaniem nielegalnych metod, po trzecie ujawnia pewien zaskakujący fakt, dotyczący sieciowej infrastruktury.

Autor raportu pt. Internet Census 2012 tak pisze o swoich zamierzeniach: bawiąc się silnikiem skryptowym Nmapa odkryliśmy zaskakująco dużą liczbę otwartych urządzeń typu embedded podłączonych do Internetu. Wiele z nich działa na Linuksie i pozwala na logowanie do standardowego BusyBoksa z domyślnym hasłem, albo nawet bez niego. Wykorzystaliśmy te urządzenia, aby zbudować rozproszony skaner portów, który zeskanować miałby wszystkie adresy IPv4 (…) przeanalizowaliśmy zgromadzone dane, by uzyskać szacunkową ocenę wykorzystania przestrzeni adresowej IP.

To wydawało się początkowo tylko zabawą w logowanie się kombinacją root:root do losowych adresów IP. Szanse powodzenia są przecież znikome. Jednak okazało się, że skanując Sieć w tempie 10 adresów IP na sekundę, można trafić na otwarte urządzenie podpięte do sieci w ciągu pierwszej godziny. A gdyby to urządzenie zaprząc do dalszego skanowania? Anonimowy badacz przygotował więc oprogramowanie, które robiło właśnie coś takiego: zamieniało znalezione w Sieci urządzenia w elementy ogromnego botnetu. Ujrzałem szansę popracowania z Internetem na wielką skalę, kliknięciem myszy rozkazywaniu setkom tysięcy urządzeń, skanując i mapując całą Sieć tak, jak jeszcze nikt wcześniej tego nie robił – w zasadzie bawiąc się komputerami i Internetem tak, jak mało kto będzie miał kiedykolwiek okazję się bawić – wyznaje autor Internet Census 2012.

Przygotowany kod był prawdziwym majstersztykiem. Składający się z dwóch części program napisano w C i skompilowano na dziewięć różnych architektur sprzętowych. Pierwszą częścią był skaner usługi telnet, próbujący logować się do systemu i rozpowszechniać dalej, drugą kod kontrolny, wyznaczający zakresy skanowania i zwracający wyniki do autora. Do tego dochodził analityczny backend, stworzony w PHP, oraz skrypty Pythonie do sterowania botnetem. Skaner przygotowano tak, by działał na zarażonym urządzeniu zużywając jak najmniej zasobów systemowych, by nikt nie zauważył przeciążeń i odkrył intruza. Jeśli jednak jakiś czujny administrator zauważyłby podejrzaną aktywność, to w załączonym pliku readme mógł znaleźć opis projektu i kontaktową skrzynkę pocztową.

Wystarczyła jedna noc, by jego oprogramowanie (które otrzymało nazwę Carna, za rzymską boginią zdrowia narządów wewnętrznych) przejęło w Sieci 420 tys. urządzeń z własnymi adresami IPv4, które miały dość pamięci i mocy obliczeniowej, by można je było wykorzystać w botnecie. Raptem cztery kombinacje loginów i haseł pozwoliły przejąć kontrolę nad bardzo różnymi urządzeniami – nie tylko prostymi routerami czy settop boksami, ale też profesjonalnym sprzętem Cisco i Junipera, akceleratorami kryptograficznymi, a nawet urządzeniami, których nikt nigdy nie powinien podłączać do Internetu – systemami kontroli urządzeń przemysłowych czy zabezpieczeń drzwi.

Badanie potrwało pół roku, zakończono je w październiku. Pozyskane dane, po przetworzeniu za pomocą Apache Hadoopa, autor postanowił upublicznić – za pomocą BitTorrenta pobrać można skompresowane do 565 gigabajtów archiwum, zawierające m.in. miliardy wyników skanowania aktywnych adresów IP. Z badania wynika m.in., że pozostało nam około 1,3 mld wolnych adresów IPv4, 4,3 miliona sieci /24 zawierało wszystkie 420 mln odpowiadających na pingi adresów, a spośród tych 420 milionów, 165 milionów miało otwarty jeden lub więcej spośród najpopularniejszych portów.

Na koniec warto wyjaśnić kwestię anonimowości autora badania. Najwyraźniej zdaje on sobie sprawę z tego, że np. w Stanach Zjednoczonych mógłby za to, co zrobił, trafić na setki lat do więzienia, więc jedyny ślad, jaki pozostawił po sobie, to klucz publiczny. Dlatego też eksperci z branży bezpieczeństwa, choć z uznaniem wyrażają się o Internet Census 2012, to zwykle zajmują asekuranckie stanowisko, twierdząc, że badanie było nieetyczne, a następne badania tego typu powinny być przeprowadzane w zgodzie z prawem. Sam autor badania najwyraźniej prawa nie ma w wielkim poważaniu – wydaje się odpowiedzialnym żartownisiem. Czemu odpowiedzialnym? Choć udostępnił wyniki badania, to stwierdził, że samego kodu botnetu nigdy nie udostępni. Za duże jest bowiem ryzyko wykorzystania go do naprawdę złych celów.

Artykuł pt. Internet Census 2012 – Port scanning /0 using insecure embedded devices, znaleźć możecie tutaj.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.